SÄHKÖMAGNEETTISEN HAJASÄTEILYN AIHEUTTAMIEN TIETOTURVARISKIEN EHKÄISYN PERIAATTEET



Samankaltaiset tiedostot
Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Määräys. Viestintävirasto on määrännyt 23 päivänä toukokuuta 2003 annetun viestintämarkkinalain (393/2003) 129 :n nojalla: 1 Soveltamisala

Tiedote tuulivoimapuiston rakentajille

Tutkimuslaitosseminaari

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Karjala hankealue Lemi

Ohje arviointikriteeristöjen tulkinnasta

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Määräys HÄTÄLIIKENTEEN OHJAUKSESTA JA VARMISTAMISESTA. Annettu Helsingissä 5 päivänä toukokuuta 2011

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Pohjanmaa hankealue Alavus

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa

Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Tietoturvapolitiikka

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

Määräys TELELIIKENTEEN ESTOLUOKISTA. Annettu Helsingissä 5 päivänä huhtikuuta 2005

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä xx päivänä yykuuta 2007

Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.

Määräys POSTILAATIKKOJEN SIJOITTELUSTA. Annettu Helsingissä 31 päivänä toukokuuta 2011

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa hankealue Sievi

Päätös MNC-tunnuksen myöntämisestä

Määräys VIESTINTÄVERKON VERKONHALLINNASTA. Annettu Helsingissä 24 päivänä elokuuta 2007

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

Tämä analyysi korvaa päivätyn analyysin /9520/2011 MARKKINA-ANALYYSI TUKIKELPOISESTA ALUEESTA LAPPI HANKEALUE 57 (KOLARI)

@ Viestintävirasto Analyysi 1 (5)

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

PELASTUSVIRANOMAISEN ROOLI OLEMASSA OLEVAN VÄESTÖNSUOJAN TOIMINTAKUNTOISUUDEN VALVONNASSA

Varmaa ja vaivatonta viestintää kaikille Suomessa

CE MERKINTÄ KONEDIREKTIIVIN 2006/42/EY PERUSTEELLA

Laatua ja tehoa toimintaan

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

Viestintäviraston päätös mainontaa koskevien säännösten noudattamisesta

Viestintäviraston päätös käyttöoikeuden siirrosta

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Viestintäviraston päätös käyttöoikeuden myöntämisestä pilotointikäyttöön

Luku A - Kaikkia viestintäverkkoja ja -palveluja koskevat kysymykset

LAUSUNTOPYYNTÖ VUONNA 2014 KÄYNNISTYVISTÄ JULKISTA TUKEA HAKEVISTA LAAJAKAISTAHANKKEISTA

Pilvipalveluiden arvioinnin haasteet

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

NCSA-FI:n hyväksymät salausratkaisut

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Sähkömagneettisia päästöjä ja häiriönsietoa koskeva valmistajan ilmoitus. Sivulla S8 / S8 Sarja II / VPAP Sarja III 1 3 S9 Sarja 4 6

AED Plus. Trainer2. Ohjeet ja valmistajan ilmoitus Sähkömagneettinen säteily Sähkömagneettisen ilmoitus Suositeltu etäisyys siirrettävien

Tietoturvaa verkkotunnusvälittäjille

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

PIEKSÄMÄEN MELUSELVITYKSEN MELUMITTAUKSET

Johdatus EMC:hen ja EMCdirektiiviin

Päätösluonnos huomattavasta markkinavoimasta kiinteästä puhelinverkosta nousevan puheliikenteen tukkumarkkinoilla

RG-58U 4,5 db/30m. Spektrianalysaattori. 0,5m. 60m

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

SOTILASILMAILUN TVJ-ALAN TEKNISEN HENKILÖSTÖN KELPOISUUSVAATIMUKSET

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Ajankohtaista säädösrintamalta

Matkaviestinverkkojen sisäantenniverkkojen suunnittelun lähtökohdat

Säteilyturvakeskuksen määräys turvallisuuslupaa edellyttävien säteilylähteiden turvajärjestelyistä

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Radioyhteys: Tehtävien ratkaisuja. 4π r. L v. a) Kiinteä päätelaite. Iso antennivahvistus, radioaaltojen vapaa eteneminen.

HELSINGIN JA UUDENMAAN PYSYVÄISOHJE 3 / (5) SAIRAANHOITOPIIRI Yhtymähallinto

Webinaarin sisällöt

ATEX-direktiivit. Tapani Nurmi SESKO ry

Sähköi sen pal l tietototurvatason arviointi

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

ASUINKERROSTALON ÄÄNITEKNISEN LAADUN ARVIOINTI. Mikko Kylliäinen

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

ANTENNIJÄRJESTELMÄN KUNTOKARTOITUS

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

Euroopan unionin neuvosto Bryssel, 22. toukokuuta 2017 (OR. en) SEU 50 artiklan mukaisissa neuvotteluissa sovellettavat avoimuusperiaatteet

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Radioamatöörikurssi 2016

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Radioamatöörikurssi 2018

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Määräys 65 TVantennivastaanoton. vaatimukset. Antennialan tekniikkapäivä Yrjö Hämäläinen

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN ACN:N NUMERONSIIRTOTILAUKSEN SITOVUUTTA

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Määräys VIESTINTÄVERKKOJEN YHTEENLIITETTÄVYYDESTÄ, YHTEENTOIMIVUUDESTA JA MERKINANNOSTA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Immersbyn osayleiskaavan meluselvitys

Määräys. 1 Soveltamisala

VAHTIn riskien arvioinnin ja hallinnan ohjeen sekä prosessin uudistaminen - esittely

Rakentamismääräyskokoelma

Tietoturvapolitiikka

Viestintäviraston päätös radiouutisten sponsoroinnista

Lausuntopyyntö vuonna 2017 käynnistyvistä julkista tukea hakevista laajakaistahankkeista

Riippumattomat arviointilaitokset

Varmaa ja vaivatonta viestintää

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Sovelto Oyj JULKINEN

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Malliratkaisu Kuulonsuojaimet

Transkriptio:

Ohje 1 (10) Turvallisuus-toimiala Dnro: 15.11.2013 1305/653/2013 SÄHKÖMAGNEETTISEN HAJASÄTEILYN AIHEUTTAMIEN TIETOTURVARISKIEN EHKÄISYN PERIAATTEET Viestintävirasto Kommunikationsverket Finnish Communications Regulatory Authority Itämerenkatu 3 A PL 313 00181 Helsinki Puhelin 09 69 661 www.viestintävirasto.fi Östersjögatan 3A PB 313, FI-00181 Helsingfors, Finland Telefon +358 9 69 661 www.kommunikationsverket.fi Itämerenkatu 3A P.O. Box 313, FI-00181 Helsinki, Finland Telephone +358 9 69 661 www.ficora.fi

2 (10) Sisällysluettelo 1 Johdanto... 3 2 Keskeiset käsitteet... 3 2.1 Hajasäteily... 3 2.2 TEMPEST... 3 2.3 Toimivaltainen TEMPEST-viranomainen... 3 3 Hajasäteilyriskin pienentämisvaatimuksia ohjaavat tekijät... 4 4 Hajasäteilyn etenemiseen ja hyötysignaalin kaappaamismahdollisuuksiin vaikuttavat tekijät... 4 4.1 Hajasäteilyn eteneminen ja vaimentumiseen vaikuttavat tekijät... 4 4.2 Sähköisen tiedon käsittely-ympäristöjen erotteleminen hajasäteilyriskin pienentämiseksi (PUNA/MUSTA -periaate)... 5 5 Hajasäteilyn vaimennusvaatimukset eri suojaustasojen tiedoille... 5 5.1 Yleistä... 5 5.2 Toimitilojen jaottelu vyöhykkeisiin hajasäteilyn vähentämisen näkökulmasta... 6 5.3 Laitesuojaluokat laitteiden lähettämän hajasäteilyn näkökulmasta... 7 6 Hajasäteilyltä suojautuminen käytännössä... 8 6.1 Suojattavien tietojen tunnistaminen... 8 6.2 Riskien arviointi... 8 6.3 Suojausratkaisujen suunnittelu ja toteutus... 8 6.4 Suojausratkaisut liikkuvissa johtamispaikoissa... 9 7 Suojausratkaisujen tarkastaminen... 9 7.1 Suojausratkaisujen dokumentointi... 9 7.2 Suojausratkaisujen ylläpito... 10 8 Ohjeen ylläpito... 10

3 (10) 1 Johdanto Tämä ohje pyrkii edesauttamaan kansallista tietoturvatyötä niissä tilanteissa, joissa valtionhallinnon työyksikkö tai tämän lukuun töitä tekevä kaupallinen taho pyrkii suojaamaan salassa pidettävän tiedon tahattoman leviämisen sähkömagneettisen säteilyn välityksellä niille tahoille, joilla ei ole laillista oikeutta edellä mainittuun suojattavaan tietoon. Viestintä- ja IT-laitteet säteilevät ympärilleen sähkömagneettista säteilyä, josta voidaan sopivilla laitteilla tietyissä olosuhteissa selvittää ja tallentaa käsiteltävien tietojen sisältö. Tämä aiheuttaa riskin käsiteltävien tietojen luottamuksellisuuden säilymiselle. Tässä asiakirjassa kutsutaan edellä mainittua sähkömagneettista säteilyä hajasäteilyksi. Euroopan unionin ja Naton turvallisuussäännöissä on tarkat vaatimukset toimitiloille ja elektronisille laitteille hajasäteilyn vaimentamiseksi ja tarvittaessa sen poistamiseksi. Natossa ja EU:ssa hajasäteilyn estotoimia kutsutaan nimellä TEMPEST. EU:n ja Naton soveltamat hajasäteilyn hallintatoimet perustuvat Naton luomaan standardiin, joka on esitetty Naton julkaisuissa SDIP-27, -28 ja -29. Tämä ohje sisältää Suomen kansalliset erityisvaatimukset ja toimenpiteet, joilla hajasäteilystä aiheutuvaa riskiä voidaan pienentää hyväksyttävälle tasolle. Ohjetta sovelletaan kansallisten salassa pidettävien sähköisten tietoaineistojen käsittelyn suojaamiseen. Kansainvälisen tietoturvavelvoitteen alaisiin asiakirjoihin sovelletaan EU:n tai Naton vaatimuksia, mikäli kyseisen valtion kanssa tehdyssä turvallisuussopimuksessa ei toisin mainita. 2 Keskeiset käsitteet 2.1 Hajasäteily Hajasäteilyllä tarkoitetaan elektronisten laitteiden ympärilleen lähettämää sähkömagneettista säteilyä, josta on mahdollista selvittää sopivilla laitteilla ja sopivissa olosuhteissa käsiteltyjen tietojen sisältö. Esimerkki: Tietokoneen näytöllä olevaa kuvaa voidaan katsella ja tallentaa kaappaamalla näyttölaitteesta lähtevää hajasäteilyä. 2.2 TEMPEST TEMPEST-termi on kehitetty Natossa ja sitä käytetään yleisesti kansainvälisissä yhteyksissä, kuten Natossa ja Euroopan unionissa. TEMPEST-termi tarkoittaa vaarantavaan hajasäteilyyn kohdistuvia tarkastuksia, tutkimuksia, kontrollointia ja hajasäteilyä vaimentavia (tukahduttavia) toimia. 2.3 Toimivaltainen TEMPEST-viranomainen Euroopan unionin turvallisuussääntöjen mukaan jokaisella EU-valtiolla tulee olla määrätty toimivaltainen viranomainen, joka vastaa siitä, että viestintä- ja tietojärjestelmät ovat TEMPEST-periaatteiden ja suuntaviivojen mukaisia. TEMPEST-viranomainen hyväksyy ratkaisut, joilla suojaudutaan hajasäteilyn aiheuttamilta tietojen turvallisuuteen liittyviltä riskeiltä.

4 (10) Viestintävirasto, joka toimii Suomessa lain kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) edellyttämässä viranomaistehtävässä, on tässä ohjeessa tarkoitettu toimivaltainen TEMPEST-viranomainen. Kansallisen luokitellun tiedon ja luokiteltujen järjestelmien osalta hajasäteilyltä suojautumisen ratkaisut tarkastetaan osana järjestelmätarkastuksia (1406/2011, Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista). 3 Hajasäteilyriskin pienentämisvaatimuksia ohjaavat tekijät Valtioneuvoston asetuksen tietoturvallisuudesta valtionhallinnossa (681/2010) 16 5 momentin mukaan Laadittaessa suojaustasoon I III kuuluvaa asiakirjaa sähköisessä muodossa ja sitä muokattaessa on pidettävä huolta, että hajasäteilystä aiheutuvia haittoja voidaan riittävästi vähentää. Tätä ohjetta tulee lukea rinnan VAHTI 2/2013 -ohjeen kanssa, jossa on esitetty vaatimuksia tai ohjausta hajasäteilyltä suojautumiseksi. Lisäksi tässä ohjeessa on huomioitu soveltaen seuraavat EU:n laatimat hajasäteilyn hallitsemiseen liittyvät määräykset ja ohjeet: EU:n TEMPEST-toimintojen tietoturvapolitiikka (IASP-07) / EU RESTRICTED EU:n teknisen tietoturvallisuuden turvallisuusohjeisto TEMPESTlaitteiden valintaan ja asentamiseen (IASG 07-01) / EU RESTRICTED EU:n teknisen tietoturvallisuuden turvallisuusohjeisto TEMPESTvyöhykejaottelusta (IASG 07-02) / EU RESTRICTED Teknisen tietoturvallisuuden ohjeisto EU:n TEMPEST-vaatimuksista ja niiden arviointimenettelyistä (IASG 07-03) / EU CONFIDENTIAL Teknisen tietoturvallisuuden ohjeisto EU:n TEMPEST-yritysten hyväksymisestä (IASG 07-04) / EU LIMITE 4 Hajasäteilyn etenemiseen ja hyötysignaalin kaappaamismahdollisuuksiin vaikuttavat tekijät 4.1 Hajasäteilyn eteneminen ja vaimentumiseen vaikuttavat tekijät Hajasäteily etenee luonnollisesti parhaiten silloin, kun säteilylähteen ja vastaanottimen välillä ei ole minkäänlaisia fyysisiä esteitä. Etäisyys säteilylähteestä vastaanottimeen vaikuttaa havaittavaan säteilyn voimakkuuteen. Tämän vuoksi suojattava kohde kannattaa sijoittaa mahdollisimman kauas paikasta, mistä säteilyn kuuntelemista/kaappaamista voidaan yrittää. Seuraavat esimerkit kuvaavat erilaisten rakenneratkaisujen vaikutusta hajasäteilyn etenemiseen: o lasi vaimentaa vähemmän kuin muurattu tiiliseinä, mikä taas puolestaan vaimentaa vähemmän kuin teräs jne. Näin ollen ikkunaton huone on aina suositeltavampi hajasäteilyn vaimentamisen kannalta kuin ikkunallinen. o 20 senttimetrin materiaalipaksuus (esim. tiili tai betoni) vaimentaa enemmän kuin samasta aineesta koostuva 10 senttimetrin materiaalipaksuus. Kaksi seinää vaimentaa siis enemmän kuin yksi. Hajasäteilyltä suojattava huone kannattaa näin ollen sijoittaa mieluiten rakennuksen sisäosiin.

5 (10) Mahdollisuuteen kaapata yksittäisen laitteen säteilyä vaikuttaa myös se, onko samassa paikassa useampia samalla taajuudella säteileviä samanlaisia säteilylähteitä (esimerkiksi tietokoneen näyttöjä). Edellä mainittuja asioita arvioitaessa tulee ottaa huomioon se, että suojattavassa tilassa olevat kaapelit, ilmanvaihtoputket, vesijohdot jne. voivat toimia säteilyä johtavina antenneina. Erilaisten rakenneratkaisujen avulla voidaan saavuttaa vain suuntaa-antavia ratkaisuja. Lopullisen varmuuden hajasäteilyn vaimennusarvoista voi kuitenkin saada vain asianmukaisella mittauksella. 4.2 Sähköisen tiedon käsittely-ympäristöjen erotteleminen hajasäteilyriskin pienentämiseksi (PUNA/MUSTA -periaate) Sähköiset tietojenkäsittely-ympäristöt (kaapeloinnit, elektroniikkakomponentit, salauslaitteet jne.) tulee erottaa toisistaan, mikäli niissä käsitellään salassa pidettäviä tietoja siten, että toisessa järjestelmässä tieto on salaamattomana ja toisessa salattuna. Erotteleminen voi tapahtua käytännössä esimerkiksi sijoittamalla ko. järjestelmien salauslaitteet, tietokoneet tai tietoja siirtävät kaapelit määrätyn välimatkan päähän toisistaan. Nämä suojaetäisyydet on mainittu EU:n ohjeessa IASG 07-01, osa III. PUNA/MUSTA -periaate vaatii sen, että sellaiset sähkö- ja elektroniikkapiirit, komponentit ja järjestelmät, jotka käsittelevät turvallisuusluokiteltua tietoa salaamattomassa muodossa (PUNAINEN), erotetaan niistä, jotka käsittelevät salattua tai luokittelematonta tietoa (MUSTA). Tämän konseptin mukaisesti termejä PUNAINEN ja MUSTA käytetään selkeyttämään ja erottamaan eri piiristöjä, komponentteja, laitteita ja järjestelmiä. Terminologia tekee eron myös niiden fyysisten alueiden välillä, joihin em. tekniikka on sijoitettu. Siirron ja tallenteiden osalta suositeltavin tapa on kuitenkin pitää sähköisessä muodossa olevat salassa pidettävät tiedot salattuina, jolloin em. menettelyjä ei tarvita. 5 Hajasäteilyn vaimennusvaatimukset eri suojaustasojen tiedoille 5.1 Yleistä Hajasäteilyn vaimennustarve riippuu käsiteltävien tietojen suojaustasosta. Korkeampi suojaustaso edellyttää tehokkaampaa hajasäteilyn vaimentamista kuin matala. Hajasäteilyä voidaan vaimentaa (vähentää) tilaratkaisuilla tai käyttämällä erityisiä hajasäteilyltä suojattuja laitteita. Euroopan unioni on laatinut luokittelumallit vaatimuksineen tiloille ja laitteille. Näitä malleja sovelletaan myös kansallisten tietojen suojaamisessa. Malleissa vaimennusvaikutusvaatimukset on jaettu neljään tilavyöhykkeeseen (0-3) ja neljään laitesuojaluokkaan (A-C ja COTS eli kaupallinen TEMPESTsuojaamaton laite). Tilavyöhykkeiden vaimennusvaatimukset on kuvattu tämän ohjeen luvussa 5.2. Laitesuojaluokat on kuvattu luvussa 5.3. Hajasäteilyltä suojautuminen voidaan tehdä tilaratkaisulla, suojatuilla laitteilla tai molempien yhdistelmällä.

6 (10) Tilojen luokittelu ja hajasäteilyltä suojatun tilan valinta on suositeltavinta tehdä luvussa 5.2 kuvatun mittauksen tulosten perusteella tai VAHTI 2/2013, liitteessä 1 kuvatun pisteytysmallin mukaisesti. Tilojen luokittelu suojaetäisyyden perusteella on mahdollista silloin, kun mittausta ei jostain syystä pystytä suorittamaan tai sitä ei katsota riskianalyysin perusteella välttämättömäksi. 5.2 Toimitilojen jaottelu vyöhykkeisiin hajasäteilyn vähentämisen näkökulmasta Tilojen luokittelu hajasäteilyn vaimentumisen mittausten perusteella: Tilat voidaan luokitella neljään vyöhykkeeseen, jotka määräytyvät tilan rakenteiden mitatusta kyvystä vaimentaa hajasäteilyä. Vaimennuskyky määräytyy tilojen rakenteiden mukaisesti, kuten luvussa 4 on kuvattu. Lisäksi rakennuksen, jonka sisällä luokiteltava tila sijaitsee, ympärillä oleva valvottu/aidattu alue lisää hajasäteilyn vaimennusta. Eri tiloista tehtyjen mittaustulosten perusteella voidaan valita työtilat, joista pääsee ympäristöön mahdollisimman vähän hajasäteilyä. TEMPEST-vyöhykemittaukset, joiden perusteella tilojen luokittelu tehdään, on kuvattu EU:n ohjeessa IASG 07 02. Taulukko 1: Kansalliset TEMPEST-tilavyöhykkeiden vaimennusvaatimukset toimittaessa COTS-laitteilla Kansallinen turvallisuusvyöhyke Kansallinen TEMPESTtilavyöhyke Vaimennusvaatimus KELTAINEN 2 Lisävaimennus 14 db vaimennus< 34 db ( vertailu referenssimittaukseen) SININEN 3 Lisävaimennus > 34 db( vertailu referenssimittaukseen ) PUNAINEN n/a Vaatii erityistarkastelun Tilojen luokittelu etäisyyden perusteella: Tilat voidaan myös luokitella ilman vyöhykemittauksia perustuen suojattavan tilan etäisyyteen mahdollisesta riskialttiiksi arvioidusta hajasäteilyn kaappauspisteestä (useimmiten rakennuksen tai valvotun/aidatun alueen ulkokehältä).

7 (10) Taulukko 2: Etäisyyden perusteella määritetyt tilavyöhykkeet toimittaessa COTS-laitteilla. Kansallinen TEMPESTtilavyöhyke Etäisyysvaatimus turvallisuusvyöhyke KELTAINEN 2 etäisyys tarkastettavan alueen ulkokehälle on yli 100 m mutta alle 1000 m SININEN 3 etäisyys tarkastettavan alueen ulkokehälle on yli 1000 m PUNAINEN n/a n/a Tiedoksi: TEMPEST-tilavyöhyke 0 vastaa alle 20 m:n ja tilavyöhyke 1 20 m- 100 m:n suojaetäisyyttä. 5.3 Laitesuojaluokat laitteiden lähettämän hajasäteilyn näkökulmasta Euroopan unioni on laatinut myös hajasäteilyltä suojatuille laitteille luokituksen, jonka mukaisesti niillä voidaan käsitellä eri tasoille turvallisuusluokiteltuja tietoja. Luokitus on nelitasoinen, jossa A-luokan laitteissa on tehokkain ja C- luokan laitteissa heikoin hajasäteilysuojaus. Neljäs laitesuojaluokka on suojaamattomat kaupalliset laitteet (COTS). Luokitus on kuvattu EU:n dokumentissa IASG 07-03. Alla olevassa taulukossa on kuvattu, minkä laitesuojausluokan laitteella saa käsitellä eri suojaustasoille luokiteltuja asiakirjoja eri tilavyöhykkeillä. Käyttämällä hajasäteilyltä suojattuja laitteita, voidaan niillä kompensoida tilojen hajasäteilyn vaimennuksen puutteita. Taulukko 3: Hajasäteilyltä suojattujen laitteiden valinta ja tilavyöhykeluokat Turvallisuusvyöhyke (VAHTI 2/2013) Suojaustaso (sähköinen) Tilavyöhyke tai laitesuojaluokka COTS Laiteluokka C Laiteluokka B Laiteluokka A ST IV x x x x ST III* Vyöhyke 2 Vyöhyke 1 Vyöhyke 0 Vyöhyke 0 ST II Vyöhyke 3 Vyöhyke 2 Vyöhyke 1 Vyöhyke 0 ST I n/a n/a n/a n/a ST I -aineiston käsittely sähköisesti vaatii aina erityistarkastelun, myös kokonaisturvallisuuden osalta. * Hyväksytty käsittely perustuu vaimennusmittaukseen, etäisyyteen tai riskienarviointimenettelyyn. TEMPEST-laitesuojaluokat: COTS= kaupallinen, ei-suojattu laite C= vähiten suojattu B= keskimääräisesti suojattu A= vahvimmin suojattu

8 (10) 6 Hajasäteilyltä suojautuminen käytännössä Hajasäteilyltä suojautumisen riskienarviointi voidaan toteuttaa VAHTI 2/2013 liitteessä 1 kuvatulla pisteytysmenetelmällä, jolloin hajasäteily on yksi arvioitavista kohteista toimintaympäristön riskienarvioinnissa. Hyvällä suunnittelulla ja huolellisen riskienarvioinnin perusteella tehdyillä päätöksillä saadaan tiedot hyvin käytettäviksi ja suojattua kustannustehokkaasti. 6.1 Suojattavien tietojen tunnistaminen Mikäli organisaatiossa käsitellään pelkästään julkista tai korkeintaan suojaustason IV asioita, ei hajasäteilyä tarvitse ottaa huomioon. Hajasäteilyriski tulee huomioida tätä ylempien suojaustasojen (ST III ST II), sekä Euroopan unionin ja Naton CONFIDENTIAL tai sitä korkeampien turvallisuusluokiteltujen tietojen sähköisessä käsittelyssä. Tunnistamisprosessiin kuuluu myös määritellä, kuinka moni ja millaisissa tehtävissä työskentelevä henkilö joutuu ko. tietoja käsittelemään. Hajasäteilyltä suojattavien tietojen käsittelypisteet kannattaa kustannustehokkuutta ajatellen yleensä keskittää. 6.2 Riskien arviointi Riskien arvioinnin tuloksen perusteella voidaan määritellä millä tavalla hajasäteilysuojaus täytyy ja kannattaa tehdä. Tietoihin kohdistuvia riskejä tunnistettaessa kannattaa pohtia ainakin seuraavia asioita: Herättävätkö käsiteltävät tiedot sisältönsä perusteella kiinnostusta ulkopuolisissa hajasäteilyn kaappaamiseen kykenevissä tahoissa? Esimerkiksi sotilaalliseen maanpuolustukseen liittyvät tiedot saattavat kiinnostaa enemmän kuin henkilötiedot. Mahdollistaako ympäristö hajasäteilyyn kohdistuvan tiedustelun? Onko samassa kiinteistössä muita ja erityisesti tuntemattomia toimijoita? Millaiset rakenteet toimitiloissa on? Läpäisevätkö ne helposti sähkömagneettista säteilyä? Onko tiloissa ikkunoita? Ovatko seinät tiiltä, betonia vai kevyttä levyrakennetta? Löytyykö toimitilasta paikkaa, joka olisi keskellä rakennusta ja muutenkin vahvarakenteinen? Onko rakennuksen ympäristö valvottu/aidattu? Tunnistetaan ympäristöstä riskialteimmat paikat, mistä käsin voitaisiin kohdistaa omiin toimitiloihin suuntautuvaa hajasäteilyn kuuntelua ja kaappaamista. Tällaisia paikkoja ovat erityisesti samassa kiinteistössä tuntemattoman tahon hallinnassa olevat tilat. Tällaisia paikkoja voivat myös olla toimitilojen välittömässä läheisyydessä olevat rakennukset tai muut näkösuojassa olevat paikat, joiden haltijoista ei ole tietoa. 6.3 Suojausratkaisujen suunnittelu ja toteutus Riskianalyysin perusteella tehdään suunnitelma tietojen suojaamiseksi hajasäteilyltä. Tavoitteena on löytää ratkaisu, jonka tuloksena tietoihin hajasäteilyn kautta kohdistuva riski poistetaan kokonaan tai se jää mahdollisimman pieneksi.

9 (10) Tähän tavoitteeseen päästään seuraavalla tavalla: Sijoitetaan tilat, joissa suojattavaa tietoa käsitellään, mahdollisimman kauas sellaisista tunnistetuista paikoista, joista käsin tehtävän tiedustelun uhka on korostunut. Valitaan tietojen käsittelytiloiksi huoneet, joissa ei ole ikkunoita ja joiden rakenteet vaimentavat mahdollisimman tehokkaasti hajasäteilyä (mahdollisimman paksut ja raskaat rakennemateriaalit tai pintojen metallipinnoitteet). huoneiden ja riskialttiiksi arvioitujen paikkojen välillä on mahdollisimman monta seinää tai vastaavaa rakennetta Tehdään käytettäväksi suunnitelluille tiloille TEMPEST-mittaukset, joilla voidaan varmentaa riittävä hajasäteilyn vaimennustaso (vaatimus riippuu tiloissa käsiteltävien tietojen suojaustasosta) Mikäli rakennuksen rakenteiden luontaista vaimennusta hyödyntämällä ei saada vaadittua suojavaikutusta, rakennetaan radiotaajuiselta säteilyltä suojattu huone (eli Faradayn häkki) tai otetaan käyttöön hajasäteilysuojatut laitteet. 6.4 Suojausratkaisut liikkuvissa johtamispaikoissa Liikkuvien johtamispaikkojen suojausratkaisut, yksittäinen kannettava työasema ml., on toteutettava taulukon 3 mukaisesti. Poikkeuksena tästä on ST III-aineiston käsittely sähköisesti, jossa otetaan huomioon 60 päivän sääntö: Johtamispaikan sijainnin on vaihduttava vähintään 60 päivän välein. Sijainti katsotaan vaihtuneeksi silloin, kun lähettimen sijainti muuttuu vähintään yhden kilometrin verran edellisestä sijainnista riippumatta ympäristöstä. 60 päivän sääntöä ei voi noudattaa käsiteltäessä ST II -aineistoa sähköisesti. 7 Suojausratkaisujen tarkastaminen Tarvittaessa valitut ja toteutetut suojausratkaisut tarkastaa ja hyväksyy toimivaltainen TEMPEST-viranomainen. Tarkastaminen perustuu joko tiedon omistajan laatimaan perusteltuun riskienarviointiin, tai tehtyihin mittausraportteihin. Jos tiloissa käsitellään EU:n tai Naton turvallisuusluokiteltuja tietoja, tilat ja suojausratkaisut hyväksyy toimivaltainen TEMPEST-viranomainen. 7.1 Suojausratkaisujen dokumentointi Tehdyt suojausratkaisut tulee dokumentoida. Dokumentaatiossa tulee olla vähintään seuraavat asiakirjat: Suunnittelun perustana ollut riskianalyysi Tilojen suunnitteludokumentit, joissa on perustelut valituille suojausratkaisuille Mahdolliset tilojen tarkastusdokumentit ja lausunnot (mittauspöytäkirjat ml.) Päätös hyväksytystä jäännösriskistä

10 (10) Dokumentaatiota tulee ylläpitää jatkuvasti. 7.2 Suojausratkaisujen ylläpito Suojausratkaisuja tulee ylläpitää jatkuvasti ja huolehtia, ettei niiden suojauskyky laske. Erityisesti tämä on huomioitava hajasäteilyltä suojattuja laitteita huollettaessa. Tilojen tarkastaminen mittaamalla tulisi tehdä aina, kun tilaan tehdään sellainen rakenteellinen muutos, jolla on vaikutusta tilan suojaukseen. Määräaikaistarkastukset tulisi tehdä vähintään kolmen vuoden välein. 8 Ohjeen ylläpito Tämän ohjeen ylläpidosta vastaa Viestintävirasto. Mahdollisista puutteista pyydetään olemaan yhteydessä Viestintävirastoon.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute